本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 授予 Data Catalog 資源的許可 您可以在 中將**資料許可**授予委託人, AWS Lake Formation 讓委託人可以建立和管理 Data Catalog 資源,以及存取基礎資料。您可以授予目錄、資料庫、資料表和檢視的資料**湖許可**。當您授予資料表的許可時,您可以限制對特定資料表資料欄或資料列的存取,以實現更精細的存取控制。 您可以授予個別目錄、資料庫、資料表和檢視的許可,或使用單一授予操作,您可以授予目錄或資料庫中所有資料庫、資料表和檢視的許可。如果您將資料庫中所有資料表的許可授予 IAM 主體,則會隱含地授予資料庫的`DESCRIBE`許可。然後,資料庫會出現在 主控台的**資料庫**頁面上,並由 `GetDatabases` API 操作傳回。相同的原則適用於目錄層級 - 當您在目錄中接收資料庫的許可時,您也會取得該目錄的`DESCRIBE`許可。 **重要** 隱含`DESCRIBE`許可僅適用於將許可授予相同 AWS 帳戶中的 IAM 主體時。對於跨帳戶資源,您必須明確授予`DESCRIBE`許可。使用屬性型存取控制 (ABAC) 時,自動`DESCRIBE`許可授予不適用。使用屬性授予資料庫中所有資料表的許可時,Lake Formation 不會隱含地授予資料庫`DESCRIBE`許可。 您可以使用具名資源方法或 Lake Formation 標籤型存取控制 (LF-TBAC) 方法來授予許可。 您可以授予許可給相同 中的委託人, AWS 帳戶 或外部帳戶或組織。當您授予外部帳戶或組織時,您會與這些帳戶或組織共用您擁有的 Data Catalog 物件。然後,這些帳戶或組織中的主體可以存取您擁有的 Data Catalog 物件和基礎資料。 **注意** 目前,LF-TBAC 方法支援將跨帳戶許可授予 IAM 主體 AWS 帳戶、組織和組織單位 (OUs)。 當您將許可授予外部帳戶或組織時,您必須包含授予選項。只有外部帳戶中的資料湖管理員可以存取共用物件,直到管理員將共用物件的許可授予外部帳戶中的其他主體為止。 您可以使用 AWS Lake Formation 主控台、 API 或 () 授予 Data Catalog AWS Command Line Interface 許可AWS CLI。 **注意** 當您刪除 Data Catalog 物件時,與該物件相關聯的所有許可都會失效。使用相同名稱重新建立相同的資源, 不會復原 Lake Formation 許可。使用者必須再次設定新的許可。 **另請參閱:** [跨 AWS 帳戶共用 Data Catalog 資料表和資料庫](sharing-catalog-resources.md) [中繼資料存取控制](access-control-metadata.md) [Lake Formation 許可參考](lf-permissions-reference.md)